Blootstelling aan Microsoft Copilot-gegevens voorkomen

Cyberbeveiliging
Microsoft Copilot

Microsoft Copilot wordt wel een van de krachtigste productiviteitstools ter wereld genoemd.

Copilot is een AI-assistent die in al uw Microsoft 365-apps aanwezig is: Word, Excel, PowerPoint, Teams, Outlook, enzovoort. De droom van Microsoft is om de rompslomp uit het dagelijkse werk te halen en mensen zich te laten concentreren op creatieve probleemoplossers.

Wat Copilot anders maakt dan ChatGPT en andere AI-tools, is dat het toegang heeft tot alles waar je ooit aan hebt gewerkt in 365. Copilot kan direct gegevens zoeken en compileren uit al je documenten, presentaties, e-mail, agenda, notities en contacten. .

En daarin schuilt het probleem voor informatiebeveiligingsteams. Copilot heeft toegang tot alle gevoelige gegevens waartoe een gebruiker toegang heeft, wat vaak veel te veel is. Gemiddeld is 10% van de M365-gegevens van een bedrijf toegankelijk voor alle werknemers.

Copilot kan ook snel genereren netto nieuw gevoelige gegevens die beschermd moeten worden. Vóór de AI-revolutie was het vermogen van mensen om gegevens te creëren en te delen veel groter dan het vermogen om deze te beschermen. Kijk maar naar de trends op het gebied van datalekken. Generatieve AI giet kerosine op dit vuur.

Er valt veel uit te pakken als het gaat om generatieve AI als geheel: modelvergiftiging, hallucinaties, deepfakes, etc. In dit bericht ga ik me echter specifiek richten op gegevensbeveiliging en hoe uw team kan zorgen voor een veilige uitrol van de Copilot. .

Gebruiksscenario’s voor Microsoft 365 Copilot

De gebruiksscenario’s van generatieve AI met een samenwerkingspakket als M365 zijn eindeloos. Het is gemakkelijk te begrijpen waarom zoveel IT- en beveiligingsteams schreeuwen om vroegtijdige toegang en het voorbereiden van hun implementatieplannen. De productiviteitsverbeteringen zullen enorm zijn.

U kunt bijvoorbeeld een leeg Word-document openen en Copilot vragen een voorstel voor een klant op te stellen op basis van een doelgegevensset die OneNote-pagina’s, PowerPoint-decks en andere kantoordocumenten kan bevatten. Binnen enkele seconden heeft u een compleet voorstel.

Microsoft Copiloot

Hier zijn nog een paar voorbeelden die Microsoft gaf tijdens hun lanceringsevenement:

  • Copilot kan deelnemen aan uw Teams-vergaderingen en in realtime samenvatten wat er wordt besproken, actiepunten vastleggen en u vertellen welke vragen tijdens de vergadering onopgelost bleven.
  • Copilot in Outlook kan u helpen bij het sorteren van uw inbox, het prioriteren van e-mails, het samenvatten van discussies en het genereren van antwoorden voor u.
  • Copilot in Excel kan ruwe gegevens analyseren en u inzichten, trends en suggesties geven.

Hoe Microsoft 365 Copilot werkt

Hier is een eenvoudig overzicht van hoe een Copilot-prompt wordt verwerkt:

  • Een gebruiker voert een prompt in een app zoals Word, Outlook of PowerPoint.
  • Microsoft verzamelt de zakelijke context van de gebruiker op basis van hun M365-machtigingen.
  • Er wordt een prompt naar de LLM gestuurd (zoals GPT4) om een ​​antwoord te genereren.
  • Microsoft voert na de verwerking verantwoorde AI-controles uit.
  • Microsoft genereert een antwoord en stuurt opdrachten terug naar de M365-app.

Microsoft 365 Copilot-beveiligingsmodel

Bij Microsoft is er altijd een extreme spanning tussen productiviteit en veiligheid.

Dit bleek tijdens het coronavirus, toen IT-teams snel Microsoft Teams implementeerden zonder eerst volledig te begrijpen hoe het onderliggende beveiligingsmodel werkte of hoe de M365-machtigingen, groepen en koppelingsbeleid van hun organisatie waren.

Het goede nieuws:

  • Isolatie van huurders. Copilot gebruikt alleen gegevens van de M365-tenant van de huidige gebruiker. De AI-tool brengt geen gegevens naar boven van andere tenants waarin de gebruiker mogelijk een gast is, noch van tenants waarvoor synchronisatie tussen tenants is ingesteld.
  • Grenzen trainen. Tweede piloot doet niet gebruik al uw bedrijfsgegevens om de fundamentele LLM’s te trainen die Copilot voor alle tenants gebruikt. Jij zou niet moeten hoeft u zich geen zorgen te maken dat uw bedrijfseigen gegevens worden weergegeven in reacties aan andere gebruikers in andere tenants.

Het slechte nieuws:

  • Rechten. Copilot brengt alle organisatiegegevens naar boven waarvoor individuele gebruikers minimaal weergaverechten hebben.
  • Etiketten. Door Copilot gegenereerde inhoud zal niet de MPIP-labels overnemen van de bestanden waar Copilot zijn antwoord vandaan heeft gehaald.
  • Mensen. De reacties van Copilot zijn niet gegarandeerd 100% feitelijk of veilig; mensen moeten de verantwoordelijkheid nemen voor het beoordelen van door AI gegenereerde inhoud.

Laten we het slechte nieuws één voor één bekijken.

Rechten

Copilot alleen toegang verlenen tot datgene waartoe een gebruiker toegang heeft, zou een uitstekend idee zijn als bedrijven eenvoudig de minste bevoegdheden zouden kunnen afdwingen in Microsoft 365.

Microsoft stelt in zijn Copilot-gegevensbeveiligingsdocumentatie:

“Het is belangrijk dat je de machtigingsmodellen gebruikt die beschikbaar zijn in Microsoft 365-services, zoals SharePoint, om ervoor te zorgen dat de juiste gebruikers of groepen de juiste toegang hebben tot de juiste inhoud binnen je organisatie.”

Bron: Gegevens, privacy en beveiliging voor Microsoft 365 Copilot

We weten echter empirisch dat de meeste organisaties verre van de minste privileges hebben als mogelijk is. Kijk maar eens naar enkele statistieken uit Microsofts eigen State of Cloud Permissions Risk-rapport.

Microsoft Copiloot

Dit beeld komt overeen met wat Varonis ziet als we elk jaar duizenden Data Risk Assessments uitvoeren voor bedrijven die Microsoft 365 gebruiken. In ons rapport, The Great SaaS Data Exposure, hebben we ontdekt dat de gemiddelde M365-tenant het volgende heeft:

  • 40+ miljoen unieke machtigingen
  • Meer dan 113.000 gevoelige records openbaar gedeeld
  • 27K+ koppelingen voor delen

Waarom gebeurt dit? Microsoft 365-machtigingen zijn uiterst complex. Denk maar eens aan alle manieren waarop een gebruiker toegang kan krijgen tot data:

  • Directe gebruikersrechten
  • Microsoft 365-groepsmachtigingen
  • Lokale SharePoint-machtigingen (met aangepaste niveaus)
  • Toegang voor gasten
  • Externe toegang
  • Publieke toegang
  • Linktoegang (iedereen, organisatiebreed, direct, gast)

Tot overmaat van ramp zijn de machtigingen meestal in handen van eindgebruikers, en niet van IT- of beveiligingsteams.

Etiketten

Microsoft vertrouwt sterk op gevoeligheidslabels om DLP-beleid af te dwingen, versleuteling toe te passen en datalekken in grote lijnen te voorkomen. In de praktijk echter wel labels krijgen werken is moeilijk, vooral als je op mensen vertrouwt om gevoeligheidslabels toe te passen.

Microsoft schetst een rooskleurig beeld van labelen en blokkeren als het ultieme vangnet voor uw gegevens. De realiteit onthult een somberder scenario. Terwijl mensen gegevens creëren, blijft de etikettering vaak achter of raakt verouderd.

Het blokkeren of versleutelen van gegevens kan de workflows bemoeilijken, en etiketteringstechnologieën zijn beperkt tot specifieke bestandstypen. Hoe meer labels een organisatie heeft, hoe verwarrender het kan worden voor gebruikers. Dit is vooral intens voor grotere organisaties.

De doeltreffendheid van op labels gebaseerde gegevensbescherming zal zeker afnemen als AI een orde van grootte meer gegevens genereert waarvoor nauwkeurige en automatisch bijgewerkte labels nodig zijn.

Zijn mijn labels in orde?

Varonis kan de Microsoft-gevoeligheidslabels van een organisatie valideren en verbeteren door het volgende te scannen, ontdekken en repareren:

  • Gevoelige bestanden zonder label
  • Gevoelige bestanden met een onjuist label
  • Niet-gevoelige bestanden met een gevoelig label

Mensen

AI kan mensen lui maken. Inhoud gegenereerd door LLM’s zoals GPT4 is niet alleen goed, het is geweldig. In veel gevallen overtreffen de snelheid en de kwaliteit ruimschoots wat een mens kan doen. Als gevolg hiervan beginnen mensen blindelings te vertrouwen op AI om veilige en nauwkeurige reacties te creëren.

We hebben al praktijkscenario’s gezien waarin Copilot een voorstel voor een klant opstelt en gevoelige gegevens van een heel andere klant opneemt. De gebruiker drukt na een snelle blik (of geen blik) op “verzenden”, en nu heb je een scenario voor een privacy- of datalek in handen.

Zorg ervoor dat uw huurder klaar is voor Copilot

Het is van cruciaal belang dat u inzicht heeft in uw gegevensbeveiligingspositie voor uw Copilot-uitrol. Nu Copilot algemeen beschikbaar is, is het een goed moment om uw beveiligingsmaatregelen te treffen.

Varonis beschermt duizenden Microsoft 365-klanten met ons Data Security Platform, dat een realtime beeld biedt van risico’s en de mogelijkheid om automatisch de minste bevoegdheden af ​​te dwingen.

Wij kunnen u helpen de grootste beveiligingsrisico’s met Copilot aan te pakken, vrijwel zonder handmatige inspanning. Met Varonis voor Microsoft 365 kunt u:

  • Ontdek en classificeer automatisch alle gevoelige, door AI gegenereerde inhoud.
  • Zorg er automatisch voor dat MPIP-labels correct worden aangebracht.
  • Dwing automatisch machtigingen met de minste bevoegdheden af.
  • Bewaak voortdurend gevoelige gegevens in M365 en waarschuw en reageer op abnormaal gedrag.

De beste manier om te beginnen is met een gratis risicobeoordeling. Het duurt enkele minuten om het in te stellen en binnen een dag of twee heeft u realtime inzicht in de risico’s van gevoelige gegevens.

Dit artikel verscheen oorspronkelijk op de Varonis-blog.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google vervangt de naam ‘Messages by Google’ voor iets eenvoudigers

Netflix en Max voor $ 10/maand

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]